Azure安全基础：日志分析、安全中心与Sentinel

作者：Jordan Drysdale

TL;DR

从渗透测试者视角看防御、狩猎和安全的问题：实验室环境与大规模部署的成本差异。
若每月每台服务器花费15美元获取ATP数据、演示其有效性并提供技巧与基础指导，这很经济。但在Azure上为5000台虚拟服务器部署ATP，年成本近百万美元，这显得昂贵。不过，由于未维护其他EDR平台，或许这很便宜？我不确定…但我确知日志分析、Sentinel和ATP能全面呈现Azure身份验证边界防御、虚拟服务器活动及其间一切。

入门（日志分析）

文末有术语部分，可能需要参考以理解全貌。部署一台VM或实验室（文末通过Terraform部署APT实验室），或确保现有资源受监控。然后，点击Azure的日志分析工作区仪表板。若跟随操作，可在Microsoft维护的演示环境（如下链接：DemoLogsBlade）完成许多步骤。

添加新工作区，如需容器化，也可添加资源组。

定价层问题看似明显，但这里仍作说明。

最后，点击创建。完成后，应有日志分析仪表板。

欢呼中，点击“转到资源”。

从导航树向下滚动至“日志”。

然后，进入日志仪表板，左侧可见LogManagement架构。Microsoft定义称架构为“…按逻辑类别分组的表集合”。默认仅显示少量表，但添加新事件源时会更新，类似Elastic的日志索引增长。还高亮显示了查询窗格，稍后会再次见到。

为文档化，开箱即用架构如下所示。

添加日志源——Azure平台通过点击即可实现。首先，将VM连接到事件分析工作区。
导航至：主页 > 日志分析工作区 > EventAnalytics-WS1 > 在“开始使用日志分析”下，找到“1. 连接数据源”，然后点击“Azure虚拟机”。

进一步披露，下列VM使用此处的Terraform脚本部署。（我们将很快发布相关博客！）

点击此面板中列出的任何虚拟机。

点击“连接”。约五分钟后，系统连接完成。

接下来，安装日志分析代理。导航至：主页 > 安全中心 > 入门 > 安装代理标签页。勾选适当订阅框，点击“安装代理”。

此功能将在这些系统上安装日志分析代理。只需几分钟，可趁机刷新茶饮。

事件、事件处理与首次观测

（注意：可能产生费用）要收集首组安全事件，需启用它们，这会产生费用。请考虑自身钱包。文末将总结此努力的成本，包括启动三台VM的APT实验室，每台每日约2.40美元，含按需日志消费定价。导航至：主页 > 安全中心 > 定价和设置。

到达后，我首先禁用自动配置。这将防止未来部署的VM在无交互下意外产生费用。

是时候启用标准层定价了。这将启用所需的事件管理，以在日志分析仪表板中查看事件。
导航至：主页 > 安全中心 > 定价和设置。

编辑此过程中创建的工作区，将定价切换至标准，以启用所有事件。

接下来，导航至：主页 > 安全中心 > 定价和设置 > 连续导出。此处需启用适当的导出数据类型。

此时，应有初步事件。

接下来，Azure Sentinel

导航至：主页 > Sentinel。点击“添加”。

接下来，添加工作区。

一切连接后，仅需几次点击即可使Sentinel上线。

从而开始我们在Azure上的狩猎操作。众多问题待解决，方向待探索，事件待搜索。
下一篇博客已在筹备中，将通过Roberto的工作（OTRF）在AzureSentinel2Go上部署。这是我最喜欢的徽标之一…

术语

租户 – 账户和组
订阅 – 与Microsoft的协议
VM – Azure空间中的虚拟机
日志分析 – Azure的日志记录仪表板
日志分析代理 – 安装在VM上用于事件集成
ATP – 高级威胁防护，昂贵但极其强大

链接

想从本文作者那里学习更多疯狂技能？
查看Jordan和Kent的课程：

防御企业
假设妥协——带有检测和Microsoft Sentinel的方法论
提供实时/虚拟和点播形式！